前不久，sine安全威胁情报中心暗夜猎杀检测实验室检测到大量恶意样本，通过免费网盘进行存储和分发。在执行过程中，样本使用了很多知名公司的签名正常程序内存加载木马。根据送达文件的名称，判断主要目标对象是企业行政人员。通过对样本的详细分析和溯源，我们发现这些样本和一个国产游戏外挂辅助工作室有很大的相关性。木马除了常规的信息窃取，还包含内网传输的功能，用户要警惕。

事件概述:通过持续监控SINE安全APT攻击预警平台的告警信息，我们捕获了几个同类型的样本，并对其中一个进行了详细分析。完整的执行过程如下图所示:这些样本基本上都是伪装成办公软件wpsxls的文档图标，使用诱人的文件名，如vip数据表、会员数据、银行风险控制等。，对特定目标发起网络攻击。“1的样本。[计费目录]。com”进行了详细分析。首先通过EXE可执行文件传播样本，利用文件名和图标伪装诱导用户点击。反调试是通过进程检测来对抗安全分析。如果没有检测到相关的安全工具，DDMC.DLL内存将从自己的数据加载并执行，其导出功能:“_ElevFunc”将分别从自己的数据和网盘获取加密的ZIP压缩文件。经过分析，我们发现下面的可执行程序都是签名的白色文件。

经过对这批样本的连续检测，我们发现不同时间段的样本在攻击技术和攻击过程上存在细微的差异。比如5月份的一个样本《最新风险控制事项LZ-2020-05-17.exe》和这个样本有以下不同:不同点1:首先，样本是从自身获取ZIP压缩文件，而不是从网盘下载。获取两个压缩文件后，使用不同的解压缩密码(“148820xqwe”，xqq871@x...)解压缩并释放到指定的目录。差别2:Bawershell编码用以调用和执行后续函数，自启动方式是在系统启动菜单中添加启动文件，实现持久性。其他方面基本和这个样本一样，比如通过签名的白文件端加载恶意DLL，解密kk.log文件获得最终后门木马发动网络攻击等。